Secure boot mode custom что это: Secure Boot — отключение защищенной загрузки (с фото)

Secure Boot – что это за утилита и как её отключить

Что такое Secure Boot, и как её отключать?

Эта утилита – специфический предохранитель, который не дает пользователям устанавливать на компьютер с Windows 8, 8.1 и 10 любую другую ОС .

Работа встроенной в BIOS (UEFI) утилиты заключается в сравнении специальных ключей с подписями загрузочного кода системы.

При несовпадении Secure Boot прекращает загрузку с целью защиты компьютера от взлома и использования нелицензионного программного обеспечения.

Для загрузки любой другой операционной системы на ПК от пользователя требуется сначала отключить эту утилиту в интерфейсе UEFI.

Рис.1. Сообщение при попытке поставить новую систему на компьютер с Security Boot.

Содержание:

Принцип работы и особенности Secure Boot





Технологию защиты системы от переустановки придумали не разработчики Microsoft, а специалисты из компании Unified EFI Forum, создавшей новый интерфейс БИОС – UEFI.

Функция предусматривает возможность отключения запрета установки другой ОС и управления ключами на любом ноутбуке и стационарном ПК.

Не получится отключить Secure Boot (SB) только на планшете под управлением Windows.

Для компьютеров с Windows 8 и 10 утилита работает в двух режимах:

  • Режим Setup, необходимый для настройки и позволяющий заменить основные ключи Platform Key и KEK, а также базы разрешённых и отозванных ключей DB и DBX;
  • Режим User или режим пользователя, в котором компьютер работает по умолчанию.

Для того, чтобы убрать функцию следует воспользоваться первым режимом.

Замена ключей, которые сравниваются с подписями кода, позволит обойти ограничение на переустановку.

Определение режима загрузки

Узнать о том, что на вашем ПК или ноутбуке включена функция Secure Boot можно тремя способами:

  • уже во время попытки поставить новую Windows вместо старой, когда у вас не получится это сделать, а система выдаст соответствующее сообщение;
  • через меню msinfo32, которое можно вызвать с помощью окна «Выполнить» и введённой в нём одноимённой команды. Здесь следует найти пункт «Состояние безопасной загрузки» и прочитать там информацию о режиме защиты;

Рис.2. Вход в меню «Свойств системы».

  • путём запуска в командной строке (открытой от имени администратора) команды Confirm-SecureBootUEFI. Если режим работает, на экране появится надпись True, если не работает – False. Другие сообщения, включая Cmdlet not supported on this platform, говорят о полном отсутствии поддержки SB компьютером.

Рис.3. Сообщение, показывающее отсутствие поддержки UEFI и Secure Boot.

После определения режима, в котором работает Secure Boot, следует проверить тип его политики с помощью той же командной строки. Для этого вводится уже другая команда – Get-SecureBootPolicy.

Она может вернуть значение {77FA9ABD-0359-4D32-BD60-28F4E78F784B}, что говорит о правильно настроенной политике безопасности.

Любые другие символы показывают, что безопасная загрузка работает в тестовом режиме.

Сообщение типа Secure Boot policy is not enabled on this machine означает, что режим не поддерживается материнской платой.

к содержанию ↑

Отключение утилиты



Если на вашем компьютере требуется отключить безопасный режим и обеспечить загрузку новой ОС, следует выполнить следующие действия:

  • Войти в настройки интерфейса UEFI;
  • Изменить настройки БИОС одним из возможных способов, в зависимости от производителя материнской платы.

На компьютерах с Виндовс 8 и выше существует 2 основных способа входа в БИОС:

  • Перейти в правой панели в меню «Параметры», выбрать изменение параметров, затем «Обновление и восстановление» и просто «Восстановление»;
  • После этого выбирается пункт «Перезагрузить», затем настройки ПО UEFI. Осталось подождать перезагрузки, после чего вход в интерфейс БИОС будет выполнен автоматически;
  • Нажать при включении компьютера функциональную клавишу (Delete, F2 или другие).

После того как удалось войти в интерфейс, следует найти в его настройках пункт, отвечающий за отключение.

Он зависит от конкретной модели компьютера и марки материнской платы.

Например, для ноутбуков HP в БИОС следует найти вкладку System Configuration, перейти к пункту Boot Options и изменить значение показателя Secure Boot на Disabled.

После сохранения изменений и перезагрузки компьютера никаких ограничений на установку ОС остаться не должно.

Устройства Lenovo и Toshiba имеют вкладку Security, а Dell – меню UEFI Boot, где тоже следует отключить Secure Boot.

Рис.4. Отключение безопасной загрузки для модели ноутбука Lenovo.

Для устройств Asus, кроме отключения, требуется дополнительно выбрать возможность установки новой ОС, установив параметр Other OS в пункте OS Type.

На стационарных компьютерах Asus функцию отключают, перейдя в раздел Authentication. А для плат марки Gigabyte требуется переход в меню BIOS Features.

к содержанию ↑

Исправление неполадок




Иногда настройки Secure Boot могут оказаться неправильными.

В этом случае, даже установив систему, в углу рабочего стола можно увидеть сообщение об ошибке типа «Профессиональная Безопасная загрузка (SecureBoot) настроена неправильно Build 9600».

Причина появления этой информации заключается вовсе не в том, что операционная система оказалась нелицензионной или была неправильно активирована, а только о снижении безопасности компьютера и необходимости в следующих действиях:

  • Определение одним из трёх известных способов, работает ли в настоящее время Secure Boot;
  • Проверка типа политики безопасности;
  • Если режим отключён, для устранения надписи о проблемах с безопасностью следует его включить (при установке системы можно снова выбрать отключение SB), перезагрузить компьютер, войти в БИОС и включить Secure Boot.

Рис.5. Включение SB в настройках UEFI материнской платы AsRock для решения неполадки.

Если применённый метод не помог устранить проблему, настройки UEFI следует попробовать сбросить до заводских.

Для этого в БИОС есть пункт Factory Default. При отсутствии поддержки этого режима у компьютера решить вопрос, скорее всего, не получится.

Единственный возможный вариант – установка таких обновлений от Microsoft, как KB288320, которое находится в составе пакета GA Rollup A.

Скачать его можно с официального сайта производителя, обязательно учитывая разрядность вашей системы – х86 или 64.

к содержанию ↑

Нужен ли пользователям Secure Boot?





Появление функции было неоднозначно воспринято пользователями Windows.

С одной стороны, её использование мешает переустановке операционной системы и, таким образом, ограничивает владельца ноутбука или ПК в своих действиях.

С другой эта же опция, по словам разработчиков, позволяет предотвратить действие руткитов – вредоносных скриптов, отрицательно влияющих на работоспособность системы.

Для того чтобы разобраться с этим вопросом, стоит подробнее рассмотреть особенности утилиты:

  1. Конкретное назначение Secure Boot – инициализация операционной системы при её загрузке и передача управления загрузчику ОС;
  2. Secure Boot представляет собой не встроенную в Windows 8 или 10 функцию, а версию протокола UEFI. Но уже сам интерфейс входит в состав загрузки Виндовс;
  3. Система использует SB для безопасности загрузки платформы, и настройка утилиты выполняется производителем устройства, а не операционной системы – то есть компаниями HP, Dell, Lenovo и т. д.;
  4. Microsoft не контролирует установку Secure Boot на компьютеры, независимо от того какая система на них установлена (Windows 7, 8 или 10 с разрядностью 32 или 64).

Функция безопасности начинает работать сразу же после включения питания компьютера, запрещая установку новых систем.

Таким образом, пользователь не может использовать для изменения ОС ни жёстким диском, ни сетевой картой, ни CD, DVD или USB-флешкой.

И, хотя производитель утверждает, что функция легко может быть отключена (пусть даже это и не даст загружаться установленной лицензионной системе), сертификация Win-8 может привести к другому результату.

Microsoft требует от разработчиков ПК и ноутбуков только установки Secure Boot, но не обязывает предусмотреть возможность её отключения.

Кроме того, согласно требованиям сертификации Win-8, устанавливать ключи, отличные от защиты MS, тоже не обязательно.

Получается, что возможна такая ситуация, когда производитель выпустит компьютер с Secure Boot, который будет нельзя отключить, и системой, которая уже установлена на устройстве, придётся пользоваться постоянно.

А, значит, пользователю необходимо знать о такой возможности перед покупкой ноутбука или ПК, чтобы не отключаемый SB не стал неприятным сюрпризом.

Читайте другие наши материалы про работу с BIOS/UEFI:

Настройки Bios — Детальная инструкция в картинках

Три способа сбросить БИОС на ноутбуке

Как установить Windows 7 вместо Windows 8 » Страница 11

Как установить Windows 7 вместо Windows 8 на ноутбуке. Привет админ! Хочу рассказать свою историю, как я пытался установить Windows 7 вместо Windows 8 на новый ноутбук с БИОСом UEFI, стиль разделов жёсткого диска GPT пришлось переделать в MBR.

Примечание админа: Друзья, недавно у нас вышло ещё несколько статей на эту тему:

  1. Как установить на любой ноутбук с Windows 8. 1 (БИОС UEFI) вторую операционную систему Windows 7 не конвертируя жёсткий диск в MBR.
  2. Если у вас ноутбук ASUS или HP, то Вы можете сделать это ещё проще.
  3. Как преобразовать GPT в MBR без потери данных или как произвести конвертацию ноутбука с БИОСом UEFI из GPT в MBR и чтобы операционная система Windows 8.1 осталась работоспособной, в дальнейшем на этот ноутбук можно установить Windows 7″

Сначала была мысль установить Windows 7 прямо на жёсткий диск GPT. Дело в том, что у меня есть ещё системный блок с БИОСом UEFI и на него я спокойно установил Windows 7 на GPT-диск. Для инструкции использовал вашу статью Как установить Windows 7 на GPT-диск. Но с ноутбуком такой номер не проходит.

Если в БИОСе UEFI ноутбука включена опция «Secure Boot», и включена опция UEFI BOOT, то установка Windows 7 заканчивается в самом начале, ещё до выбора разделов, вот такой ошибкой «Boot failure — a proper digital signature was not found»

Если в БИОСе UEFI ноутбука выключена опция «Secure Boot», но включена опция UEFI BOOT, то установка Windows 7 опять зависает в самом начале ещё до выбора разделов.

Дистрибутив Windows 7 Professional 64-bit Рус. (OEM) настоящий, куплен в магазине. Перепробовал всё, перерыл весь интернет, создавал флешку UEFI, использовал ещё один дистрибутив Windows 7, но всё бесполезно. Что-то блокирует установку в самом начале!

Кстати, при покупке операционной системы в магазине мне так и сказали, что установить Windows 7 вместо Windows 8 на диск GPT не получится. Можно снести Windows 8, затем преобразовать жёсткий диск в MBR и установить Windows 7. Но мне посоветовали, прежде чем сносить Windows 8 сильно подумать, так как на новом ноутбуке, заново не получиться установить Windows 8, даже если у меня будет дистрибутив! Потому что специального ключа на днище ноутбука нет, говорят он вшит в БИОС ноутбука.

Примечание: Друзья, это не совсем так, переустановить на вашем ноутбуке Windows 8 можно и очень просто. Если вам нужно узнать ключ вашей Windows 8, читайте нашу статью Как узнать ключ Windows.

Даже если я куплю Windows 8 с новым ключом, мне его просто негде будет ввести, при переустановке Windows 8, я получу ошибку ещё до ввода ключа «Введенный ключ продукта не соответствует ни одному из образов Windows».

Восстановить Windows 8 можно будет только в сервисном центре за деньги. Тоже самое мне сказали на форуме сообщества Майкрософт!

Не поможет даже отключение в БИОС опции «Secure Boot» и перевод режима UEFI в положение «Legacy OS» или «CMS OS»

Обратите внимание админ, если раньше ключ Windows был прописан на днище ноутбука, то сейчас его там нет, вам не кажется, что странные дела творятся в этом мире! Юстас.

Согласен со всем сказанным выше, поэтому друзья, прежде чем установить Windows 7 вместо Windows 8 прочитайте вот эти три наши статьи, создайте бэкап Windows 8 и положите его на всякий случай на полочку, может он вам и пригодится когда-нибудь.

1) Как создать резервный образ жёсткого диска ноутбука с установленной Windows 8 во встроенной производителем программе Recovery Media Creator.

2) Как создать резервный образ Windows 8 с помощью встроенных средств архивации.

3) Создание резервной копии жёсткого диска ноутбука в программе Acronis True Image 13.

Ещё в этих статьях подробно написано, как восстановить Windows 8 в случае необходимости.

Информация для тех, кто хочет вернуть Windows 8! Если вы уже снесли Windows 8 (без создания резервного бэкапа) и установили вместо неё Windows 7, отключив на новом ноутбуке UEFI и преобразовав жёсткий диск вместо GPT в MBR, а сейчас хотите вместо Windows 7 установить обратно Windows 8, то нужно проделать такие действия:

Найти установочный диск именно с вашей версией Windows 8, скорее всего она у вас называлась Windows 8 для одного языка (Windows 8 Single Language) затем включить в БИОС UEFI и установить эту самую Windows 8 Single Language, ключ вшитый в ваш БИОС подставится автоматически.

Или вы можете установить на ноутбук Windows 8 другой версии, например Windows 8 Профессиональная, для этого нужно создать два файла конфигурации установки системы (EI.cfg) и (PID.txt) и добавить их в папку sources дистрибутива Windows 8. Всё подробно написано в нашей статье «Как переустановить Windows 8 на ноутбуке» ссылка на статью выше.

Для установки Windows 7 вместо Windows 8 предпринимаем такие шаги.

Первое, создаём загрузочную флешку Windows 7, кто не знает как это сделать, читайте нашу статью — Как создать установочную флешку Windows 7.

Второе, флешку необходимо подсоединить в порт USB 2.0, так как Windows 7 не поддерживает USB 3.0 (порты обычно закрашены синим цветом)

Третье, заходим в БИОС вкладка Security и отключаем опцию «Secure Boot» (выставить её в Disabled), именно она проверяет сертификат загрузчика операционной системы, а такой сертификат есть только у Windows 8, если вам интересно почему так, читаем нашу статью БИОС UEFI.

 

В БИОС во вкладке «Advanced» находим опцию «System configuration» и входим в неё,  

здесь видим опцию  «BOOT MODE» или «OS Mode Selection», выставляем её вместо положения UEFI OS (может быть UEFI BOOT)

 в положение «CSM Boot» или «UEFI and Legacy OS», «CMS OS»  

что даст нам возможность загрузить наш ноутбук с установочного диска с любой операционной системой.

После этого сохраняем наши изменения в БИОС, нажимаем F10

и загружаемся с установочного диска или флешки с Windows 7. Например на моём ноутбуке, чтобы попасть в загрузочное меню, нужно при загрузке часто жать клавишу F12,

появится меню выбираем в нём наш DVD-ROM.

При появлении на экране надписи «Press any key to boot from CD or DVD», нажимаем любую клавишу на клавиатуре, этим мы соглашаемся загрузиться с установочного диска.

Далее.

Установить.

Принимаем условия соглашения. Выбираем полную установку.

Друзья, здесь вы просто можете нажать на кнопку «Настройка диска» и удалить все имеющиеся разделы,

далее устанавливайте Windows 7 в нераспределённое пространство. Windows 7 при установке автоматически преобразует жёсткий диск в стандарт MBR.

Или вызываем командную строку, нажимаем на клавиатуре Shift + F10 и преобразуем наш жёсткий диск в стандарт MBR в командной строке, все разделы и данные на диске также будут удалены. Жмём на клавиатуре Shift + F10. В командной строке последовательно вводим команды:

diskpart
 sel dis 0
 clean
 convert mbr
 exit
 exit

Нажимаем Обновить.

Далее.

Начинается стандартная установка Windows 7, которая должна закончиться удачно.

После установки операционной системы Windows 7 идём в Управление дисками, щёлкаем правой мышью на нашем диске и выбираем Свойства,

далее Тома. Как видим, наш диск имеет стиль раздела MBR.

Ну а дальше, нам придётся искать драйвера для нашего ноутбука, можете воспользоваться нашими статьями.

Статья по этой теме: Как установить Windows 7 на новый ноутбук с Windows 10, на котором присутствуют только порты USB 3.0 и отсутствует оптический привод! Как после установки системы скачать и установить драйвера, ведь сетевой адаптер и порты USB 3.0 работать у вас не будут

Безопасная загрузка включает или отключает восстановление

Безопасная загрузка появится в пользовательском режиме и не имеет ключей (режим настройки в документации по логотипу Microsoft). Если пользователи попытаются включить безопасный режим загрузки, переход будет разрешен, но не будет принят, поскольку ключ платформы (PK) отсутствует. Чтобы включить безопасную загрузку, перейдите в стандартный режим и принудительно перезапустите. Это позволит включить безопасную загрузку при следующем входе пользователей в меню настройки UEFI F1.

Источник

Наконечник RETAIN: h312054

Симптом

Безопасная загрузка появится в пользовательском режиме и, похоже, не имеет
клавиши (режим настройки в документации Microsoft Logo). Если пользователи
попробуйте включить безопасный режим загрузки, это позволит перейти
но он не будет принят, так как нет ключа платформы (ПК). К
включить Secure Boot , перейти в стандартный режим и
принудительный перезапуск. Это позволит Secure Boot
для включения при следующем входе пользователей в UEFI F1
Меню настройки .

Затронутые конфигурации

Системой может быть любой из следующих серверов IBM:

  • Система x3850 X6, тип 3837 (4 сокета, гарантия 3 года), любая
    модель
  • System x3850 X6, тип 3839 (4 сокета, гарантия 4 года), любой
    модель, любая 3850×6

Этот совет не зависит от программного обеспечения.

Этот совет не зависит от опции.

Затрагиваются следующие системные уровни BIOS или UEFI:

  • Идентификатор сборки: AE8103SUS (тестовая сборка GA)
  • Идентификатор сборки: AE8104SUS (производственная сборка GA)

Обходной путь

Нет обходного пути.

Дополнительная информация

При активации безопасной загрузки с помощью меню настройки UEFI проверяется
каждая часть программного обеспечения, включая драйверы UEFI (дополнительные ПЗУ)
и операционной системы против баз данных заведомо исправных
подписи. Если каждая часть программного обеспечения действительна, прошивка запускается
программное обеспечение и операционная система. OEM-производители предоставляют свои драйверы
в IBM, которые затем включаются в прошивку UEFI. Это включает
базу данных сигнатур (db), базу данных отозванных сигнатур (dbx) и
базу данных ключей регистрации ключей (KEK). Эти базы данных хранятся
на вспышке во время изготовления.

База данных сигнатур и список базы данных отозванных сигнатур
подписанты или хэши изображений приложений UEFI, операционной системы
загрузчики (такие как Microsoft Operating System Loader или Boot
Manager) и драйверы UEFI, которые можно загрузить на сервер, и
отозванные изображения для элементов, которые больше не являются доверенными и не могут
быть загружен.

База данных ключей регистрации ключей — это отдельная база данных
ключи подписи, которые можно использовать для обновления базы данных подписей и
База данных отозванных подписей. Майкрософт требуется указанный ключ для
быть включенным в базу данных KEK, чтобы в будущем Microsoft могла
добавить новые операционные системы в базу данных сигнатур или добавить известные
плохие изображения в базу данных отозванных подписей.

После добавления этих баз и после финальной прошивки
проверки и тестирования, IBM блокирует прошивку от редактирования, за исключением
для обновлений, подписанных правильным ключом, или обновлений
физически присутствующий пользователь, использующий меню микропрограммы, а затем
генерирует ПК. PK можно использовать для подписи обновлений KEK или для
отключить безопасную загрузку.

Как правило, существует порядок старшинства (от большего к меньшему)
значимые) PK, KEK, db, dbx. То есть:

  • Чтобы обновить KEK, у вас должна быть подпись с правильным
    ПК.
  • Для обновления db или dbx у вас должна быть подпись с
    правильный PK или KEK. ПК требуется для включения безопасной загрузки.

Описание клавиш важно для понимания режимов, которые мы
поддерживать. Безопасная загрузка имеет два режима: стандартный и пользовательский стандартный.
Режим позволяет пользователю использовать преимущества сертификатов, подписанных
Майкрософт. Эти сертификаты позволяют UEFI проверять все дополнительные ПЗУ.
и Операционная система подписаны и действительны. Они включают оба
Windows и сторонние сертификаты для Linux. По сути мы
разрешить использование этих значений по умолчанию в безопасных загрузочных сертификатах в нашем
стандартный режим. Это включает в себя один PK и несколько KEK, db и
дбкс.

Пользовательский режим позволяет пользователю устанавливать собственный набор ключей.
Спецификации состояния безопасной загрузки позволяют выполнять загрузку в
Пользовательский режим без ПК. Это позволяет операционной системе регистрировать
новый PK, который затем будет использоваться для проверки собственного KEK, db и
дбкс.

Безопасный режим загрузки IBM по умолчанию — пользовательский режим, а
Запрещать. Чтобы воспользоваться набором ключей по умолчанию из
Microsoft, пользователям необходимо изменить пользовательский режим на стандартный режим
( Системные настройки , Безопасность ,
Конфигурация безопасной загрузки ). Затем пользователям потребуется
перезагрузить. Когда безопасная загрузка может быть включена с помощью F1
меню настройки ( Системные настройки ,
Безопасность , Безопасная загрузка
Конфигурация ).

[{«Тип»:»HW»,»Подразделение»:{«код»:»BU016″,»метка»:»Поддержка нескольких поставщиков»},»Продукт»:{«код»:»HWXM0″, «label»:»System x->System x3850 X6″},»Platform»:[{«code»:»PF025″,»label»:»Независимая от платформы»}],»Направление бизнеса»:{«code» :»»,»метка»:»»}}]

Подготовьте свои устройства к Windows 11, включив безопасную загрузку и прошивку TPM

Если вы запустили приложение проверки работоспособности ПК от Microsoft и получили сообщение об ошибке, указывающее, что ваше несколько новое устройство не может работать с Windows 11, это, вероятно, связано с вашей материнской платой без включенного встроенного TPM. Это особенно актуально для изготовленных на заказ игровых ПК, где он часто не включен по умолчанию.

Ошибка приложения проверки работоспособности ПК

С момента объявления для Windows 11 требуется TPM 2.0 , было написано несколько статей о том, как спекулянты продают микросхемы TPM значительно дороже рекомендованной розничной цены. К счастью, в последнее время чипы AMD и Intel поддерживают TPM на основе прошивки, который можно включить в настройках материнской платы. Настройка называется AMD fTPM или Intel Platform Trust Technology (PTT) .

Чтобы включить TPM, загрузите компьютер в настройки BIOS/материнской платы (вероятно, включив при нажатии клавиши Delete). Поскольку мы находимся в настройках материнской платы, я не могу делать скриншоты, поэтому имейте в виду, что на следующих изображениях много бликов — извините! На моей материнской плате AORUS я найду fTPM на странице настроек:

Настройка fTPM

И включить его так же просто, как нажать Enter и выбрать Enabled :

Включить fTPM

Мы знаем, что Windows 11 также требует включения безопасной загрузки . Так что, пока мы находимся в настройках BIOS, мы могли бы сделать и это.

Ваши настройки могут отличаться, но мне пришлось перейти на страницу Boot . Здесь сначала нам нужно отключить поддержку CSM :

Отключить поддержку CSM

Поддержка CSM используется для загрузки с устаревших устройств, что является полной противоположностью цели безопасной загрузки.

Быстрое замечание: если вы загружались из BIOS, а не из UEFI, вы активно использовали этот параметр поддержки CSM. Это означает, что если вы отключите настройку поддержки CSM, вы не сможете загрузить свою ОС. Если это так, у Microsoft есть инструмент командной строки под названием MBR2GPT, который вы можете запустить, чтобы преобразовать свой диск из BIOS в UEFI. После запуска этого инструмента обязательно вернитесь в настройки материнской платы, чтобы загрузиться с только что преобразованного диска. Если вы не знаете, загружаетесь ли вы из BIOS или UEFI, откройте приложение «Информация о системе» и проверьте настройку режима BIOS:

Информация о системе

Как только вы отключите поддержку CSM, вы заметите, что появилась настройка безопасной загрузки :

Настройки безопасной загрузки

При нажатии на эту настройку вам будет предоставлена ​​возможность включить безопасную загрузку:

Безопасная загрузка settings

Но прежде чем мы сможем просто включить, сначала нам нужно настроить режим безопасной загрузки .

Читайте также: